Anzeige

Reality Check auf Wüstenstraße

Die Auswirkungen von COVID-19 haben Unternehmen gezwungen, auf Fernarbeitsmodelle umzusteigen. Insbesondere Firmen mit einer überwiegend technischen oder ingenieurtechnischen Belegschaft sollten hier einen Realitätscheck durchführen. 

Zuerst einmal ist es so, dass weitaus mehr möglich ist, als man es erwartet. Unter Umständen muss man nur die Projektparameter an die veränderte Situation anpassen. Ich kann das mit einiger Gewissheit sagen, weil ich den größten Teil meiner Karriere so gearbeitet und Teams geleitet habe. Dabei geht es weniger darum, wie ein Manager sein Team leitet, sondern vielmehr um die Erkenntnis, dass jeder seine Arbeit anders handhabt. 

Hoemoffice - eine  Herausforderung für viele

Für Teams, die daran gewöhnt sind, in Büroumgebungen zu arbeiten und Kolleg*innen in der Nähe zu haben, wird die Entfernung natürlich zur Herausforderung. Per definitionem gilt das sicherlich für diejenigen, die in Paarprogrammierung arbeiten oder deren Teams ihre Arbeit beispielsweise um Ideation Pods herum strukturieren. Wie uns aktuell besonders bewusst wird, entziehen sich Mitarbeiter, die außerhalb des Unternehmens arbeiten auch der Kontrolle der IT. Das heißt aber nicht, dass die IT jetzt den Zugang einschränken und dadurch auf die Geschwindigkeitsbremse treten sollte. Sie sollte vielmehr die Arbeit erleichtern, und verhindern, dass Mitarbeiter sich andere (eigene) Wege suchen.

Menschen bevorzugen unterschiedliche Arbeitsmodelle. Die einen suchen nach individuellen Modellen, bei denen ihnen flexible Arbeitszeiten helfen, besonders produktiv zu sein, ohne an einem bestimmten physischen Standort gebunden zu sein. Diese Option ist so ziemlich das genaue Gegenteil zu denjenigen, die lieber in einer Büroumgebung arbeiten und deren Arbeitspraktiken um soziale Zusammenarbeit herum aufgebaut sind. Man sollte die unterschiedlichen Arbeitsstile kennen. Denn darin liegt der Schlüssel zur maximalen Produktivität, wenn ein Arbeitsstil plötzlich allen aufgezwungen wird.

Was macht uns produktiv?

Wenn Sie an Remote-Working-Modelle gewöhnt sind, betrachten Sie die Arbeit als eine Reihe von Aufgaben und nicht als Zeitaufwand. Im Laufe des Tages unterbrechen Sie üblicherweise die Arbeit und Sie arbeiten nicht unbedingt acht Stunden durchgängig. Einige verbringen im Laufe eines Monats den Großteil ihrer Zeit vielleicht in unterschiedlichen Zeitzonen. Dann gewährt dieses Modell ihnen die Flexibilität, unabhängig von Flugplänen, Projekten oder Rednerverpflichtungen produktiv zu bleiben. Zumindest grundsätzlich. Wer wie jetzt gerade, in ein Fernarbeitsmodell gezwungen wird, hat vielleicht noch nie genau darüber nachdenken müssen was ihn produktiv macht und worin grundsätzliche Herausforderungen bestehen.

Zum Beispiel, wenn die Homeoffice-Umgebung weit vom Idealzustand entfernt ist. Oder wenn Kinder oder Haustiere einen Teil ihrer Aufmerksamkeit beanspruchen. Oder der Küchentisch zum improvisierten Home Office wird. Diese Ablenkungen zu bewältigen wird für diejenigen, die an vorhersehbare Büroumgebungen gewöhnt sind, leicht zu einem Kraftakt. Auch aus der Perspektive des Arbeitsmanagements bestehen Unsicherheiten. Wer als Führungskraft bisher sehr genau wusste, was für jeden einzelnen Mitarbeiter ansteht, der erlebt jetzt einen Kontrollverlust. Manch ein Arbeitgeber mag vielleicht soweit gehen eine Fernüberwachungssoftware einzusetzen, um sicherzustellen, dass die Mitarbeiter „tatsächlich arbeiten“. Wenn man die potentiellen Auswirkungen solcher Softwarelösungen auf Privatsphäre und Arbeitsmoral einmal ignoriert, ist es wichtig zu erkennen, dass sich die Angst von Führungskräften direkt auf die Mitarbeiter überträgt. Jeder Arbeitnehmer hat unabhängige Zeitpläne und Feedback-Modelle ändern sich. Unter solchen Voraussetzungen mögen Mitarbeiter sich fragen, ob sie überhaupt in der Lage sind, die in sie gesetzten Erwartungen zu erfüllen.

Gibt es eine „neue Normalität“ 

Die Aufgabe einer Führungskraft besteht jetzt darin, ihren Mitarbeitern die Sorge zu nehmen, dass sie tatsächlich die Erwartungen im Rahmen einer „neuen Normalität“ erfüllen. Gleichzeitig müssen Vorgesetzte sicherstellen, dass die Aufgaben entsprechend der individuell einzigartigen Situation ihrer Mitarbeiter richtig verteilt werden. Schulen und Kitas sind geschlossen. Von wem als Eltern erwartet wird, in täglichem Kontakt mit den Lehrern zu stehen und das Schuljahr von zu Hause aus fortsetzen, der wird kaum das erledigen können, was sonst an einem vollen Arbeitstag machbar ist. Solche Arbeitnehmer sind gerade vollzeitbeschäftigte Arbeitnehmer und minimal teilzeitbeschäftigte Lehrkräfte gleichzeitig. Diejenigen, die es gewohnt sind, sich auf technische Problemlösungen zu konzentrieren, brauchen vielleicht mehr Zeit für das Umsetzen von Produktänderungen als gewohnt.

Wer neue Paradigmen für das Management und anfallende Arbeitsaufgaben definiert, muss diese Veränderungen auch bei den IT- und Cybersicherheitsanforderungen berücksichtigen. Ein Beispiel ist der Zugriff auf Kundendatenbanken. Wie werden diese Daten auf dem heimischen Computer gesichert? Wenn der Arbeitgeber von einem Firmen-Laptop aus arbeitet, ist dieser Laptop wahrscheinlich gesichert. Vorausgesetzt, er ist regelmäßig an das Unternehmensnetzwerk angeschlossen. Änderungen bei den Sicherheitsrichtlinien und Kennwortrücksetzungen müssen eventuell zurückgestellt werden, bis der Laptop wieder im Unternehmen ist. Im Moment sieht es ganz danach aus, dass uns „Stay at home“ noch eine Weile begleiten wird. Auch wenn die Unsicherheit groß ist, sollte man prüfen wie man weiter verfahren will, sollte der Shut down länger andauern.

Denial-of-Service-Angriffe auf VPN-Verbindungen

Probleme bereiten nicht selten die technischen Voraussetzungen. Heimnetzwerke sind kaum so gut abgesichert wie ihre Unternehmensverwandten. Und wenn eine komplette Familie die zur Verfügung stehende Bandbreite nutzt, kann es bei zusätzlichen Videokonferenzen zum Engpass kommen. Längst hat auch diese Krise die Aufmerksamkeit von Kriminellen auf sich gezogen, die von der Not anderer profitieren wollen. Da selbst IT- und Sicherheitsteams überwiegend remote arbeiten, ist das, was eine normale Netzwerktopologie ausmacht inzwischen alles andere als normal. VPNs, eigentlich für den Notfall oder für eine begrenzte Anzahl von Remote-Mitarbeitern ausgelegt, sind aktuell schnell überlastet, ebenso wie die Netzwerke, die sie unterstützen. Cyberkriminelle können ein Unternehmen direkt über einen Denial-of-Service-Angriff auf die VPN-Verbindung schädigen.

Legitime und bösartige Software-Quellen

Über die Unterstützung der allgemeinen Belegschaft hinaus sollte jedes Team die sicherheitsrelevanten Veränderungen in seinen Prozessen identifizieren. Beispielsweise besteht die Möglichkeit, dass Software-Entwickler, die außerhalb der Corporate-Governance-Grenzen arbeiten, versehentlich Code integrieren, der Angriffe auf die Lieferkette erlaubt. Das ist etwa der Fall, wenn ein Angreifer eine populäre legitime Software mit bösartigem Code infiziert. Beim Herunterladen von Software ist es oft nicht ganz einfach, eine legitime Quelle von einer Quelle zu unterscheiden, die Code enthält, den die Autoren nicht in ihre offiziellen Veröffentlichungen aufgenommen haben. Diese Tatsache machen Cyberkriminelle sich zunutze.

Jedes dieser Szenarien wirft Fragen auf, denen sich Führungskräfte aus der Wirtschaft stellen und die sie anhand von Bedrohungsmodellen mit ihren IT- und Cybersicherheitsteams durchspielen sollten. Während die meisten Anbieter von Sicherheitslösungen damit beschäftigt sind, ihre Tools zu bewerben und ihre Varianten eines Weltuntergangsszenarios zu präsentieren, ist es in Wirklichkeit unmöglich, sich gegen das Unbekannte richtig zu verteidigen.

Wie sehen Bedrohungsmodelle aus? 

Wenn man erkennt, dass die Angreifer die Regeln für ihre Attacken festlegen, sollte man dafür sorgen, dass man nicht zu einer leichten Beute wird. Bedrohungsmodelle zu erstellen, um die Situation bewerten zu können, ist etwas, das jedes Team tun kann. Wenn man sich diese Fragen stellt, darf man sich durchaus von einer leichten Berufsparanoia leiten lassen. Angesichts des ungewissen Endes von „Stay at home“ ist es eine ausgezeichnete Investition bestehende IT-Schwachstellen zu identifizieren, bevor es andere tun. 

Tim Mackey, Prinicipal Security Strategist
Tim Mackey
Prinicipal Security Strategist, Synopsys Cybersecurity Research Center (CyRC)
Tim Mackey ist einer der wichtigsten Sicherheitsstrategen des Synopsys CyRC (Cybersecurity Research Center). Er kam im Rahmen der Übernahme von Black Duck Software zu Synopsys, wo er daran arbeitete, die integrierte Sicherheits-Scan-Technologie für Red Hat OpenShift und die Container-Orchestrierungsplattformen von Kubernetes bereitzustellen.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cybersecurity
Apr 07, 2020

Cybersicher Einloggen im Homeoffice - Was die IT jetzt tun kann

Wenn man sich fragt, was Unternehmen in diesen Tagen tun können, um ihre Cybersicherheit…
Netzwerk Personen
Apr 07, 2020

Arbeiten in Zeiten von Social Distancing

Für die meisten Arbeitnehmer hängt die Produktivität von zwei grundlegenden Faktoren ab:…
Myths - Facts
Mär 27, 2020

5 Mythen über DDoS im Jahr 2020

DDoS-Angriffe verändern sich, und obwohl man glauben könnte, dass sie bereits der…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!